CN111800439A - 一种威胁情报在银行中的应用方法及其*** - Google Patents
一种威胁情报在银行中的应用方法及其*** Download PDFInfo
- Publication number
- CN111800439A CN111800439A CN202010933025.2A CN202010933025A CN111800439A CN 111800439 A CN111800439 A CN 111800439A CN 202010933025 A CN202010933025 A CN 202010933025A CN 111800439 A CN111800439 A CN 111800439A
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- attack
- information
- hit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000004364 calculation method Methods 0.000 claims abstract description 36
- 238000011156 evaluation Methods 0.000 claims abstract description 30
- 238000004519 manufacturing process Methods 0.000 claims description 35
- 230000000903 blocking effect Effects 0.000 claims description 11
- 238000005457 optimization Methods 0.000 claims description 5
- 230000001360 synchronised effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 19
- 238000012544 monitoring process Methods 0.000 description 15
- 238000001514 detection method Methods 0.000 description 11
- 239000000047 product Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 1
- 206010072219 Mevalonic aciduria Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
- 238000013268 sustained release Methods 0.000 description 1
- 239000012730 sustained-release form Substances 0.000 description 1
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种威胁情报在银行中的应用方法及其***,该方法包括如下步骤:获取威胁情报数据;时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与威胁情报数据进行比对,获取比对结果;为每个环节建立赋值计算中间表,并根据比对结果在赋值计算中间表中对威胁情报数据进行加权,以获取各环节的加权值;建立威胁情报评价表,且在威胁情报评价表与各环节的赋值计算中间表之间建立索引;时间周期结束时,在威胁情报评价表中将各环节的加权值进行运算,以获取信誉值;根据信誉值的高低,判断威胁情报数据的可靠性。本发明利用银行目前安全产品,将威胁情报信息与告警信息进行比对,验证威胁情报信息的可靠性,提升威胁情报落地使用价值。
Description
技术领域
本发明涉及信息安全领域,具体而言,涉及一种威胁情报在银行中的应用方法及其***。
背景技术
随着信息安全技术的持续发展,威胁情报作为一个新兴概念,被越来越多的信息安全从业者所关注。根据Gartner公司对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持,旨在为面临威胁的资产主体提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。
在这个过程中,威胁情报作为一种数据型知识,其实是不能单独存在带来价值的,只有跟传统的一些安全防护方式一起,才能对整个企业的安全做到全方位的保障。目前市面上威胁情报的落地使用方式多种多样,如与企业已有安全架构、产品相结合,如应用到企业内部的事件应急响应中等等。然而,在威胁情报的落地使用过程中,往往是被动的接受威胁情报,缺乏对安全厂商提供的威胁情报的可靠性评价机制,或者说缺乏针对性场景的威胁情报应用方法。
发明内容
鉴于上述问题,本发明提供了一种威胁情报在银行中的应用方法及其***,对于高信誉值的可靠性较高威胁情报进行防火墙防护设备策略补充,提升威胁情报落地使用价值。
为解决上述技术问题,本发明采用的技术方案是:一种威胁情报在银行中的应用方法,包括如下步骤:步骤1,获取威胁情报数据;步骤2,时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与所述威胁情报数据进行比对,获取比对结果;步骤3,为每个环节建立赋值计算中间表,并根据比对结果在所述赋值计算中间表中对所述威胁情报数据进行加权,以获取各环节的加权值;步骤4,建立威胁情报评价表,且在所述威胁情报评价表与各环节的赋值计算中间表之间建立索引;步骤5,时间周期结束时,在所述威胁情报评价表中将各环节的加权值进行运算,以获取信誉值;步骤6,根据所述信誉值的高低,判断所述威胁情报数据的可靠性。
作为优选方案,所述访问数据流多环节包括:互联网DMZ、核心生产区和应用服务器侧,则所述步骤2具体包括:
在互联网DMZ进行初次对比,如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行FirstA加权,反之不进行操作;
在核心生产区进行二次比对,如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据进行SecondA加权;如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行SecondB加权;如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行SecondC加权;如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作;
在应用服务器侧进行三次比对,如果应用服务器侧的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据对命中的威胁情报数据进行ThirdA加权;如果应用服务器侧的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行ThirdB加权;如果应用服务器侧的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行ThirdC加权;如果应用服务器侧的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作。
作为优选方案,所述步骤2还包括特殊攻击类型比对,如果应用服务器侧的告警日志中包含特殊攻击类型,所述特殊攻击类型中的源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则比对防火墙阻断日志;
如果所述特殊攻击类型告警日志与所述防火墙阻断日志相匹配,则对命中的威胁情报数据进行FourthA加权,反之,不进行任何操作。
作为优选方案,在一轮时间周期内,如果所述威胁情报数据在同一环节被多次命中,则在所述赋值计算中间表中的加权值选用最大值。
作为优选方案,所述步骤3中信誉值的计算公式为:
信誉值 = 初始化赋值* (1 + ( K*( 加权项维度指标1 ^ 加权项权重1 + 权项维度指标2 ^ 加权项权重2 + … + 加权项维度指标N ^ 加权项权重N )/100));
加权值= 加权项维度指标 ^ 加权项权重;
其中初始化赋值一般为60,K值为资产权重,按照标准化评级L1—L5级别***的K值分别为[10、20…50]。
作为优选方案,针对不同级别的被防护资产,所述信誉值的区间等级也相应的根据资产级别K值的不同进行动态调整以匹配不同的信誉值,信誉值区间等级的划分方式如下:
信誉值∈[60*(logK) ^2,80*(logK) ^2),判断结果为所述威胁情报数据可靠性较低;
信誉值∈(80*(logK) ^2,100*(logK) ^2),判断结果为所述威胁情报数据可靠性一般;
信誉值∈(100*(logK) ^2,120*(logK) ^2),判断结果为所述威胁情报数据可靠性较高。
作为优选方案,将所述信誉值为可靠性较高的威胁情报数据放入规则优化目录,并同步至互联网DMZ域出口防火墙对源IP进行封禁。
本发明还提供了一种威胁情报在银行中的应用***,包括:获取模块,用于获取威胁情报数据;比对模块,用于在时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与所述威胁情报数据进行比对,获取比对结果;加权模块,用于为每个环节建立赋值计算中间表,并根据比对结果在所述赋值计算中间表中对所述威胁情报数据进行加权,以获取各环节的加权值;索引模块,用于建立威胁情报评价表,且在所述威胁情报评价表与各环节的赋值计算中间表之间建立索引;运算模块,用于在时间周期结束时,在所述威胁情报评价表中将各环节的加权值进行运算,以获取信誉值;判断模块,用于根据所述信誉值的高低,判断所述威胁情报数据的可靠性。
作为优选方案,所述访问数据流多环节包括:互联网DMZ、核心生产区和应用服务器侧,所述比对模块包括初次比对模块、二次比对模块和三次比对模块;
所述初次比对模块用于在互联网DMZ进行初次对比,如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行FirstA加权,反之不进行操作;
所述二次比对模块用于在核心生产区进行二次比对,如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据进行SecondA加权;如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行SecondB加权;如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行SecondC加权;如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作;
所述三次比对模块用于在应用服务器侧进行三次比对,如果应用服务器侧的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据对命中的威胁情报数据进行ThirdA加权;
如果应用服务器侧的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行ThirdB加权;如果应用服务器侧的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行ThirdC加权;如果应用服务器侧的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作。
作为优选方案,还包括特殊比对模块,所述特殊比对模块用于特殊攻击类型比对,如果应用服务器侧的告警日志中包含特殊攻击类型,所述特殊攻击类型中的源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则比对防火墙阻断日志;如果所述特殊攻击类型告警日志与所述防火墙阻断日志相匹配,则对命中的威胁情报数据进行FourthA加权,反之,不进行任何操作。
与现有技术相比,本发明的有益效果包括:利用银行目前安全架构与安全产品,将威胁情报信息与互联网DMZ区WAF、IPS等安全防护设备告警信息进行比对,验证威胁情报信息的可靠性;结合不同维度、权重、有效性等方式,赋予威胁情报信誉值,并给予信誉值动态调整区间,以信誉值反馈的方式优化同业共享威胁情报数据,对于高信誉值的威胁情报进行防火墙、WAF等防护设备策略补充,提升威胁情报落地使用价值。
附图说明
参照附图来说明本发明的公开内容。应当了解,附图仅仅用于说明目的,而并非意在对本发明的保护范围构成限制。在附图中,相同的附图标记用于指代相同的部件。其中:
图1为本发明实施例的一种威胁情报在银行中的应用方法的流程示意图;
图2为本发明实施例的一种威胁情报在银行中的应用方法的另一形式的流程示意图;
图3为本发明实施例的一种威胁情报在银行中的应用***的模块示意图。
图4为本发明实施例的比对模块的结构示意图。
具体实施方式
容易理解,根据本发明的技术方案,在不变更本发明实质精神下,本领域的一般技术人员可以提出可相互替换的多种结构方式以及实现方式。因此,以下具体实施方式以及附图仅是对本发明的技术方案的示例性说明,而不应当视为本发明的全部或者视为对本发明技术方案的限定或限制。
首先,对本发明中出现的专业术语进行解释:
DMZ:是英文“demilitarized zone”的缩写,中文名称为“隔离区”,它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全***与安全***之间的缓冲区。
WAF:是英文“demilitarized zone”的缩写,中文名称为Web应用防护***,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
IPS:是英文“Intrusion Prevention System”的缩写,中文名称为入侵防御***,是电脑网络安全设施,是对防病毒软件和防火墙的补充。
IDS:是英文“intrusion detection system”的缩写,中文名称为入侵检测***,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
RASP:是英文“Runtime application self-protection”的缩写,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,它拦截从应用程序到***的所有调用,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御。
SFTP:是英文“SSH File Transfer Protocol”的缩写,中文名称为安全文件传送协议,是一数据流连接,提供文件访问、传输和管理功能的网络传输协议。
csv格式:是一种逗号分隔值文件格式。
APT:是英语“Advanced Persistent Threat”的缩写,中文名称为高级持续性威胁,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。
Webshell:是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。
根据本发明的一实施方式结合图1示出。一种威胁情报在银行中的应用方法,包括如下步骤:
S110:获取威胁情报数据。
S120:时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与威胁情报数据进行比对,获取比对结果。
S130:为每个环节建立赋值计算中间表,并根据比对结果在赋值计算中间表中对威胁情报数据进行加权,以获取各环节的加权值。
S140:建立威胁情报评价表,且在威胁情报评价表与各环节的赋值计算中间表之间建立索引。
S150:时间周期结束时,在威胁情报评价表中将各环节的加权值进行运算,以获取信誉值。
S160:根据信誉值的高低,判断威胁情报数据的可靠性。
如图2所示,下面以银行业生产环境作为参考对象,对本发明提供的一种威胁情报在银行中的应用方法作出详细说明。
目前银行业或多或少都引进了第三方安全厂商的威胁情报数据,首先对于威胁情报数据的接收方式,本发明中要求第三方安全厂商以SFTP每天定点推送的方式向行内威胁情报数据中心进行文件传输,文件应为csv格式以便于后续调用。
行内威胁情报数据中心作为行内安全运营平台的威胁情报数据源,将威胁情报数据发送至行内安全运营平台,行内安全运营平台用于收集访问数据流多环节的安全防护类设备告警日志,并将访问数据流多环节的告警日志逐一与威胁情报数据进行比对。本发明实施例中,访问数据流多环节包括:互联网DMZ、核心生产区和应用服务器侧。具体的:
(1)威胁情报初次比对(互联网DMZ):
在威胁情报初次比对的过程中将联合行内安全运营平台收集到的IPS入侵防御设备、WAF web应用防火墙等部署于互联网DMZ区域的安全防护类设备告警日志,与威胁情报数据进行攻击源IP比对。
I. 如果安全防护类设备告警日志中的源IP信息恰好能够命中威胁情报数据中的攻击源IP信息,那么证明该威胁情报数据初步有效或者不排除基于规则库方式的安全防护类设备误报的可能性,故在此时对于该条命中的威胁情报数据进行信誉值初始化赋值,并进行FirstA加权。
II. 如果安全防护类设备告警日志中的源IP信息没有命中威胁情报数据中的攻击源IP信息,这也不能说明任何问题,因为作为实时防护告警的安全防护类设备,可能此时没有检测到相关攻击日志,也可能是威胁情报数据的不准确,此时对于威胁情报数据不进行任何操作。
(2) 威胁情报数据二次比对(核心生产区):
按照互联网应用的访问数据流,在访问流量到达核心生产区域的应用服务器、数据库服务器时,应有相应的内网安全监测手段,如IDS 入侵检测设备、全流量分析检测设备等,在威胁情报的二次比对过程中将联合行内安全运营平台收集到的旁路流量镜像型内网安全监测设备告警日志,进行攻击源IP与攻击特征比对。
I. 如果内网安全监测类设备告警日志中的源IP、攻击特征信息恰好都能够命中威胁情报数据中的攻击源IP、攻击特征信息,那么证明该威胁情报数据有效性提升,同时存在安全防护类设备规则库不完善、被攻击者绕过的可能性,也不排除内网安全监测类设备误报的可能性,故在此时对于该条命中的威胁情报数据进行SecondA加权。
II. 如果内网安全监测类设备告警日志中的源IP都能够命中威胁情报数据中的攻击源IP信息,攻击特征信息没有命中,那么证明该威胁情报中所提供的IP信息很有可能针对性的攻击银行,可能在转变攻击方式,绕过了安全防护类设备的同时引发了内网安全监测设备的告警,但也不排除内网安全监测类设备误报的可能性,此时对于该条命中的威胁情报数据进行SecondB加权。
III. 如果内网安全监测类设备告警日志中的攻击特征信息都能够命中威胁情报数据中的攻击特征信息,而攻击源IP信息没有命中,那么证明攻击者可能在改变IP地址进行攻击,也可能是威胁情报中没有涉及的攻击IP或APT攻击者,此时对于该条命中的威胁情报数据进行SecondC加权。
IV. 如果内网安全监测类设备告警日志信息没有命中威胁情报数据中的攻击源IP、攻击特征信息,此时也不能说明威胁情报数据不准确或者安全监测规则的不完善,因为实时数据的随机性和固定规则的有效性,目前还无法给出相对准确的判断,此时对于威胁情报数据不进行任何操作。
(3) 威胁情报数据三次比对(应用服务器侧)
以行内应用服务器上部署的HIDS 主机IDS、RASP 应用程序自保护等应用侧检测手段来说,数据流的最终归宿也是威胁情报最后比对的过程,在此过程中,可以相对准确的确认攻击方式的准确性。
I. 如果应用服务器侧监测告警日志中的源IP、攻击特征信息恰好都能够命中威胁情报数据中的攻击源IP、攻击特征信息,此时相对准确认为该攻击渗透进入应用服务器,威胁情报信息相对准确,此时对于该条命中的威胁情报数据进行ThirdA加权。
II. 如果应用服务器侧监测告警日志中的源IP都能够命中威胁情报数据中的攻击源IP信息,攻击特征信息没有命中,那么证明该源IP信息可能为APT长期攻击IP,在威胁情报数据的IP信息中可能徘徊命中多个,对该条命中的威胁情报数据进行ThirdB加权。
III. 如果应用服务器侧监测告警日志中的攻击特征信息都能够命中威胁情报数据中的攻击特征信息,而攻击源IP信息没有命中,那么证明攻击者存在多种攻击手段,部分攻击手段绕过了安全防护类设备,对该条命中的威胁情报数据进行ThirdC加权。
IV. 如果应用服务器侧监测告警日志信息没有命中威胁情报数据中的攻击源IP、攻击特征信息,此时对于威胁情报数据不进行任何操作。
(4)特殊攻击类型比对
特殊的,攻击类型的特殊判断(如木马植入型攻击),如果应用服务器侧监测告警日志中存在webshell上传、木马文件、后门访问等攻击类型,则在威胁情报数据三次比对后,增加与互联网DMZ区网络出口防火墙日志比对,确认此类高风险攻击的可靠性。
I. 如果应用服务器侧监测告警日志中包含特殊攻击类型,该特殊攻击类型日志中的源IP、攻击特征信息恰好都能够命中威胁情报数据中的攻击源IP、攻击特征信息,此时需要比对防火墙阻断日志,由于目前银行业具备较为完备的互联网出口防火墙端口管控措施,所以我们比对的是非80/443类的业务端口以外的内网出向阻断日志,这也侧面证明了木马文件、后门访问等特殊攻击类型利用特殊端口的访问行为被防火墙所阻断。如果应用服务器侧监测特殊攻击类型告警日志、威胁情报数据、互联网DMZ区出口防火墙阻断日志相匹配,此时对于该条命中的威胁情报数据进行FourthA加权。
II. 如果应用服务器侧监测特殊攻击类型告警日志、威胁情报数据、互联网DMZ区出口防火墙阻断日志没有相互匹配命中,则此时对于威胁情报数据不进行任何操作。
对于实时类日志比对威胁情报数据进行的信誉值赋值加权调整,我们只关注信誉值在某一区间内的有效数据,这个值也是不断动态调整的,对于调整后携带信誉值的威胁情报数据来说,也是准实时性的,后续将体现在安全防护规则优化的动态调整之中。
此时,我们对威胁情报数据的信誉值所有赋值项做一个梳理,如下表:
在初次比对时,对威胁情报数据进行信誉值初始化赋值为60,即默认信任第三方安全厂商提供的安全威胁情报数据为初始化级别,在访问流量到达核心生产区域的应用服务器、数据库服务器进行的一系列多重判断比对过程,加权指标如下:
信誉值的计算公式为:
信誉值 = 初始化赋值* (1 + ( K*( 加权项维度指标1 ^ 加权项权重1 + 权项维度指标2 ^ 加权项权重2 + … + 加权项维度指标N ^ 加权项权重N )/100));
其中,初始化赋值一般为60,K值为资产权重,按照标准化评级L1—L5级别***的K值分别为[10、20…50]。
以K = 10 (L1级别***)举例,信誉值的计算结果如下:
| 加权项 | 信誉值 | 加权项 | 信誉值 |
| FirstA | 69.48 | FirstA+ SecondA+ ThirdA | 107.52 |
| SecondA | 74.7 | FirstA+ SecondA+ ThirdB | 100.8 |
| SecondB | 70.92 | FirstA+ SecondA+ ThirdC | 96 |
| SecondC | 68.04 | FirstA+ SecondB+ ThirdA | 103.74 |
| FirstA+ SecondA | 84.18 | FirstA+ SecondB+ ThirdB | 97.02 |
| FirstA+ SecondB | 80.4 | FirstA+ SecondB+ ThirdC | 92.22 |
| FirstA+ SecondC | 77.52 | FirstA+ SecondC+ ThirdA | 100.86 |
| ThirdA | 83.34 | FirstA+ SecondC+ ThirdB | 94.14 |
| ThirdB | 76.62 | FirstA+ SecondC+ ThirdC | 89.34 |
| ThirdC | 71.82 | FourthA+ ThirdA | 91.74 |
| SecondA+ ThirdA | 98.04 | FirstA+ SecondA+ ThirdA+ FourthA | 115.92 |
| SecondA+ ThirdB | 91.32 | FirstA+ SecondB+ ThirdA+ FourthA | 112.32 |
| SecondA+ ThirdC | 86.52 | FirstA+ SecondC+ ThirdA+ FourthA | 109.26 |
| SecondB+ ThirdA | 94.26 | SecondA+ ThirdA+ FourthA | 106.44 |
| SecondB+ ThirdB | 87.54 | SecondB+ ThirdA+ FourthA | 102.66 |
| SecondB+ ThirdC | 82.74 | SecondC+ ThirdA+ FourthA | 99.78 |
| SecondC+ ThirdA | 91.38 | ||
| SecondC+ ThirdB | 84.66 | ||
| SecondC+ ThirdC | 79.86 |
其中,由于FourthA特殊攻击类型比对为ThirdA应用服务器侧监测告警日志比对的子分类,ThirdA+ FourthA判断过程需要绑定使用。
以K = 10 (L1级别***)举例,信誉值的区间等级划分如下:
信誉值∈[60,80),判断结果为该威胁情报数据在银行环境里针对L1级别***检测防护可靠性较低;
信誉值∈(80,100),判断结果为该威胁情报数据在银行环境里针对L1级别***检测防护可靠性一般;
信誉值∈(100,120),判断结果为该威胁情报数据在银行环境里针对L1级别***检测防护可靠性较高。
针对L*级别(L*为L1-L5)的被防护资产,信誉值的区间等级也相应的根据资产级别K值的不同进行动态调整以匹配不同的信誉值,信誉值区间等级的划分方式如下:
信誉值∈[60*(logK) ^2,80*(logK) ^2),判断结果为该威胁情报数据在银行环境里针对L*级别***检测防护可靠性较低;
信誉值∈(80*(logK) ^2,100*(logK) ^2),判断结果为该威胁情报数据在银行环境里针对L*级别***检测防护可靠性一般;
信誉值∈(100*(logK) ^2,120*(logK) ^2),判断结果为该威胁情报数据在银行环境里针对L*级别***检测防护可靠性较高。
对于威胁情报数据携带的信誉值来说,伴随着链路上不同层次的比对过程,始终处于不断动态调整的过程中。
在一轮的时间周期中,流程发起周期起点为自然周期起点,即开启威胁情报数据评价的时间节点,在周期中每个子环节为不同的比对过程,每一次的比对过程相对独立进行,在比对完成后即对威胁情报数据进行信誉值赋值调整,每个环节的信誉值赋值将建立赋值计算中间表,计算赋值过程在赋值计算中间表中完成,原威胁情报入库数据不进行相关操作。
进一步的,考虑到威胁情报数据在各个环节阶段都没有命中的情况,故由时间周期作为每一轮时间周期的结束标志,每一轮的时间周期为1分钟,在每一轮的时间周期结束时将由威胁情报评价表索引各个环节赋值计算中间表,进行信誉值计算。将信誉值判断结果为可靠性较高的威胁情报数据放入规则优化目录,并同步至互联网DMZ区域出口防火墙进行源IP封禁。
威胁情报数据入库设计如下:
| 序号 | HASH值 | IP | 域名 | 攻击方式 | 地址位置 | …… | 唯一性索引 |
| 1 | X | X | X | X | X | XXXX | |
| 2 | X | X | X | X | X | XXXX |
阶段赋值中间表设计如下:
| 序号 | HASH值 | IP | 域名 | 攻击方式 | 地址位置 | … | 唯一性索引 | 时间戳 | 加权项 |
| 1 | X | X | X | X | X | XXXX | X | SecondB | |
| 2 | X | X | X | X | X | XXXX | X | SecondA |
威胁情报评价表设计如下:
| 序号 | HASH值 | IP | 域名 | 攻击方式 | 地址位置 | … | 唯一性索引 | K值 | 加权项 |
| 1 | X | X | X | X | X | XXXX | 20 | SecondB+ ThirdA | |
| 2 | X | X | X | X | X | XXXX | 30 | FirstA+ SecondB+ ThirdA |
在每一轮时间周期内,每个子环节告警日志比对过程命中处理只处理一次,即子环节告警日志的相同条目的命中在一个时间周期内仅赋值计算1次。
在每一轮时间周期内,如遇到一条威胁情报数据同一环节被多次命中,例如第2阶段赋值计算第10秒和第30秒命中相同的威胁情报数据,而命中方式不同,第10秒为SecondA,第30秒为SecondB,那么存在周期内的重复赋值调整,信誉值的重复赋值仅向更大值进行单向赋值,在阶段赋值计算中间表中仅存在威胁情报数据的唯一赋值结果。
由于资产等级不同导致的K值不同,带来计算维度不同,在威胁情报评价表中将记录不同的K值供后续信誉值计算使用,不同K值的调用计算带入不同评价区间中进行评价。
在每一轮时间周期结束后,威胁情报评价表中的数据为满足计算需求,不进行表清空操作,在新一轮时间周期结束后,将对原表进行覆盖。这样避免了相同一条威胁情报数据在跨越不同环节反复操作过程中出现的赋值操作抢占行为,也为了避免同一环节中命中多条威胁情报数据的差错写入问题,同时对于持续扫描类攻击带来的一条数据多次命中问题带来缓释措施。
安全防护规则优化也是一个周期性动作,在威胁情报数据信誉值的动态调整过程中,威胁情报评价表中的数据也是周期性刷新,势必会带来信誉值所处的区间位移,这时安全防护规则需要依据“可靠性较高”评价得分区间进行动态调整,如上一轮周期内的“可靠性较高”级别的威胁情报数据在新一轮调整周期结束后位移至“可靠性一般”级别,那么在防火墙阻断规则地址池中将移除相应规则。
如图3所示,本发明还公开了一种威胁情报在银行中的应用***,包括:
获取模块110,用于获取威胁情报数据;
比对模块120,用于在时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与威胁情报数据进行比对,获取比对结果;
加权模块130,用于为每个环节建立赋值计算中间表,并根据比对结果在赋值计算中间表中对威胁情报数据进行加权,以获取各环节的加权值;
索引模块140,用于建立威胁情报评价表,且在威胁情报评价表与各环节的赋值计算中间表之间建立索引;
运算模块150,用于在时间周期结束时,在威胁情报评价表中将各环节的加权值进行运算,以获取信誉值;
判断模块160,用于根据信誉值的高低,判断威胁情报数据的可靠性。
进一步的,访问数据流多环节包括:互联网DMZ、核心生产区和应用服务器侧。如图4所示,比对模块120包括初次比对模块1201、二次比对模块1202和三次比对模块1203。
初次比对模块1201用于在互联网DMZ进行初次对比,如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行FirstA加权,反之不进行操作。
二次比对模块1202用于在核心生产区进行二次比对,如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据进行SecondA加权。如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行SecondB加权。如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行SecondC加权。如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作。
三次比对模块1203用于在应用服务器侧进行三次比对,如果应用服务器侧的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据对命中的威胁情报数据进行ThirdA加权。如果应用服务器侧的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行ThirdB加权。如果应用服务器侧的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行ThirdC加权。如果应用服务器侧的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作。
本发明实施例中,比对模块120还包括特殊比对模块1204,特殊比对模块1204用于特殊攻击类型比对,如果应用服务器侧的告警日志中包含特殊攻击类型,特殊攻击类型中的源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则比对防火墙阻断日志。如果特殊攻击类型告警日志与防火墙阻断日志相匹配,则对命中的威胁情报数据进行FourthA加权,反之,不进行任何操作。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
应理解,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括 :U 盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的技术范围不仅仅局限于上述说明中的内容,本领域技术人员可以在不脱离本发明技术思想的前提下,对上述实施例进行多种变形和修改,而这些变形和修改均应当属于本发明的保护范围内。
Claims (10)
1.一种威胁情报在银行中的应用方法,其特征在于,包括如下步骤:
步骤1,获取威胁情报数据;
步骤2,时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与所述威胁情报数据进行比对,获取比对结果;
步骤3,为每个环节建立赋值计算中间表,并根据比对结果在所述赋值计算中间表中对所述威胁情报数据进行加权,以获取各环节的加权值;
步骤4,建立威胁情报评价表,且在所述威胁情报评价表与各环节的赋值计算中间表之间建立索引;
步骤5,时间周期结束时,在所述威胁情报评价表中将各环节的加权值进行运算,以获取信誉值;
步骤6,根据所述信誉值的高低,判断所述威胁情报数据的可靠性。
2.根据权利要求1所述的威胁情报在银行中的应用方法,其特征在于,所述访问数据流多环节包括:互联网DMZ、核心生产区和应用服务器侧,则所述步骤2具体包括:
在互联网DMZ进行初次对比,如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行FirstA加权,反之不进行操作;
在核心生产区进行二次比对,如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据进行SecondA加权;
如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行SecondB加权;
如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行SecondC加权;
如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作;
在应用服务器侧进行三次比对,如果应用服务器侧的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据对命中的威胁情报数据进行ThirdA加权;
如果应用服务器侧的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行ThirdB加权;
如果应用服务器侧的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行ThirdC加权;
如果应用服务器侧的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作。
3.根据权利要求2所述的威胁情报在银行中的应用方法,其特征在于,所述步骤2还包括特殊攻击类型比对,如果应用服务器侧的告警日志中包含特殊攻击类型,所述特殊攻击类型中的源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则比对防火墙阻断日志;
如果所述特殊攻击类型告警日志与所述防火墙阻断日志相匹配,则对命中的威胁情报数据进行FourthA加权,反之,不进行任何操作。
4.根据权利要求2所述的威胁情报在银行中的应用方法,其特征在于,在一轮时间周期内,如果所述威胁情报数据在同一环节被多次命中,则在所述赋值计算中间表中的加权值选用最大值。
5.根据权利要求1所述的威胁情报在银行中的应用方法,其特征在于,所述步骤3中信誉值的计算公式为:
信誉值 = 初始化赋值* (1 + ( K*( 加权项维度指标1 ^ 加权项权重1 + 权项维度指标2 ^ 加权项权重2 + … + 加权项维度指标N ^ 加权项权重N )/100));
加权值= 加权项维度指标 ^ 加权项权重;
其中初始化赋值一般为60,K值为资产权重,按照标准化评级L1—L5级别***的K值分别为[10、20…50]。
6.根据权利要求5所述的威胁情报在银行中的应用方法,其特征在于,针对不同级别的被防护资产,所述信誉值的区间等级也相应的根据资产级别K值的不同进行动态调整以匹配不同的信誉值,信誉值区间等级的划分方式如下:
信誉值∈[60*(logK) ^2,80*(logK) ^2),判断结果为所述威胁情报数据可靠性较低;
信誉值∈(80*(logK) ^2,100*(logK) ^2),判断结果为所述威胁情报数据可靠性一般;
信誉值∈(100*(logK) ^2,120*(logK) ^2),判断结果为所述威胁情报数据可靠性较高。
7.根据权利要求6所述的威胁情报在银行中的应用方法,其特征在于,将所述信誉值为可靠性较高的威胁情报数据放入规则优化目录,并同步至互联网DMZ域出口防火墙对源IP进行封禁。
8.一种威胁情报在银行中的应用***,其特征在于,包括:
获取模块,用于获取威胁情报数据;
比对模块,用于在时间周期开始时,将从访问数据流多环节收集到的告警日志逐一与所述威胁情报数据进行比对,获取比对结果;
加权模块,用于为每个环节建立赋值计算中间表,并根据比对结果在所述赋值计算中间表中对所述威胁情报数据进行加权,以获取各环节的加权值;
索引模块,用于建立威胁情报评价表,且在所述威胁情报评价表与各环节的赋值计算中间表之间建立索引;
运算模块,用于在时间周期结束时,在所述威胁情报评价表中将各环节的加权值进行运算,以获取信誉值;
判断模块,用于根据所述信誉值的高低,判断所述威胁情报数据的可靠性。
9.根据权利要求8所述的威胁情报在银行中的应用***,其特征在于,所述访问数据流多环节包括:互联网DMZ、核心生产区和应用服务器侧,所述比对模块包括初次比对模块、二次比对模块和三次比对模块;
所述初次比对模块用于在互联网DMZ进行初次对比,如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行FirstA加权,反之不进行操作;
所述二次比对模块用于在核心生产区进行二次比对,如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据进行SecondA加权;
如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行SecondB加权;
如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行SecondC加权;
如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作;
所述三次比对模块用于在应用服务器侧进行三次比对,如果应用服务器侧的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则对命中的威胁情报数据对命中的威胁情报数据进行ThirdA加权;
如果应用服务器侧的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息,则对命中的威胁情报数据进行ThirdB加权;
如果应用服务器侧的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息,则对命中的威胁情报数据进行ThirdC加权;
如果应用服务器侧的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息,则不进行操作。
10.根据权利要求8所述的威胁情报在银行中的应用***,其特征在于,还包括特殊比对模块,所述特殊比对模块用于特殊攻击类型比对,如果应用服务器侧的告警日志中包含特殊攻击类型,所述特殊攻击类型中的源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息,则比对防火墙阻断日志;
如果所述特殊攻击类型告警日志与所述防火墙阻断日志相匹配,则对命中的威胁情报数据进行FourthA加权,反之,不进行任何操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010933025.2A CN111800439B (zh) | 2020-09-08 | 2020-09-08 | 一种威胁情报在银行中的应用方法及其*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010933025.2A CN111800439B (zh) | 2020-09-08 | 2020-09-08 | 一种威胁情报在银行中的应用方法及其*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111800439A true CN111800439A (zh) | 2020-10-20 |
| CN111800439B CN111800439B (zh) | 2020-12-22 |
Family
ID=72834283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010933025.2A Active CN111800439B (zh) | 2020-09-08 | 2020-09-08 | 一种威胁情报在银行中的应用方法及其*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111800439B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| CN108462717A (zh) * | 2018-03-21 | 2018-08-28 | 北京理工大学 | 基于规则匹配命中率和分布方差的防火墙规则集优化方法 |
| CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
| CN109672674A (zh) * | 2018-12-19 | 2019-04-23 | 中国科学院信息工程研究所 | 一种网络威胁情报可信度识别方法 |
| CN109688091A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
| US10333898B1 (en) * | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US20190379681A1 (en) * | 2018-06-06 | 2019-12-12 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
| CN111212049A (zh) * | 2019-12-27 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种威胁情报ioc信誉度分析方法 |
-
2020
- 2020-09-08 CN CN202010933025.2A patent/CN111800439B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| CN108462717A (zh) * | 2018-03-21 | 2018-08-28 | 北京理工大学 | 基于规则匹配命中率和分布方差的防火墙规则集优化方法 |
| CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
| CN109688091A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
| US20190379681A1 (en) * | 2018-06-06 | 2019-12-12 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US10333898B1 (en) * | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| CN109672674A (zh) * | 2018-12-19 | 2019-04-23 | 中国科学院信息工程研究所 | 一种网络威胁情报可信度识别方法 |
| CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
| CN111212049A (zh) * | 2019-12-27 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种威胁情报ioc信誉度分析方法 |
Non-Patent Citations (2)
| Title |
|---|
| THOMAS SCHABERREITER等: "A Quantitative Evaluation of Trust in the Quality of Cyber", 《ARES 19: PROCEEDINGS OF THE 14TH INTERNATIONAL CONFERENCE ON AVAILABILITY, RELIABILITY AND SECURITYAUGUST 2019 ARTICLE》 * |
| 周劭文 等: "基于层次分析法的威胁情报质量评估方法", 《2018第七届全国安全等级保护技术大会论文集》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111800439B (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wilson | Computer attack and cyber terrorism: Vulnerabilities and policy issues for congress | |
| Jahankhani et al. | Cybercrime classification and characteristics | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| Yue et al. | See no evil, hear no evil? Dissecting the impact of online hacker forums | |
| US20070113281A1 (en) | Method used in the control of a physical system affected by threats | |
| CA3037943A1 (en) | Connected security system | |
| US20070180525A1 (en) | Security system and method | |
| McMullan et al. | Cyberextortion at online gambling sites: criminal organization and legal challenges | |
| Kaur et al. | Cybersecurity threats in Fintech | |
| Veprytska et al. | AI powered attacks against AI powered protection: Classification, scenarios and risk analysis | |
| CN111800439B (zh) | 一种威胁情报在银行中的应用方法及其*** | |
| CN109450866B (zh) | 一种基于大数据分析的撞库预警方法 | |
| Awoyemi et al. | Globalization and cybercrimes: A review of forms and effects of cybercrime in Nigeria | |
| Ahmad et al. | An empirical analysis of cybercrime trends and its impact on moral decadence among secondary school level students in Nigeria | |
| Mezzour et al. | Global variation in attack encounters and hosting | |
| Onuchowska et al. | Disruption and deception in crowdsourcing: Towards a crowdsourcing risk framework | |
| Jegede | Modern information technology, global risk, and the challenges of crime in the era of late modernity | |
| Cavusoglu | The economics of information technology security | |
| Farion et al. | Cybercrimes, cyber law and computer programs for security | |
| Georgiades et al. | Crisis on impact: Responding to cyber attacks on critical information infrastructures | |
| Bhalla | Is the mouse click mighty enough to bring society to its knees? | |
| Ezeji | Disruptive technology on the cyberspace: the contestation | |
| Литвиненко et al. | COUNTERING CYBERCRIME IN UKRAINE | |
| Mbelli et al. | Cybersecurity, a threat to cyber banking in South Africa | |
| Österberg | Guarding against cyber-attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No.4 building, Hexi Financial City, Jianye District, Nanjing City, Jiangsu Province, 210000 Patentee after: Jiangsu Sushang Bank Co.,Ltd. Country or region after: China Address before: No.4 building, Hexi Financial City, Jianye District, Nanjing City, Jiangsu Province, 210000 Patentee before: JIANGSU SUNING BANK Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |